Datenübermittlung in Drittstaaten - Maßvolle Umsetzung des Schrems II-Urteils des EuGH Die die Initiative unterstützenden Verbände vertreten sämtliche Unternehmen der deutschen Wirtschaft. Sie sind besorgt, dass die Konsequenzen des Schrems II-Urteils des Europäischen Gerichtshofs (EuGH) massive negative Auswirkungen auf die deutsche Wirtschaft haben werden und plädieren für eine maßvolle Umsetzung. Dies ist umso dringlicher, als die Gültigkeit der EU-Standarddatenschutzklauseln kürzlich auch von einigen europäischen Aufsichtsbehörden in Frage gestellt wurde. Internationale Vernetzung der deutschen Wirtschaft Deutsche Unternehmen sind weltweit vernetzt. Die Digitalisierung der Wirtschaft trägt dazu maßgeblich bei. Datenübermittlungen in Länder außerhalb der EU spielen nicht nur bei international aufgestellten Konzernen und weltweitem Absatzmarkt eine Rolle. Auch kleinere Unternehmen speichern immer häufiger Daten in der Cloud, setzen Software US-amerikanischer Anbieter ein und setzen bei der Kommunikation auf soziale Netzwerke und Webkonferenzsysteme internationaler Anbieter. Supportleistungen werden oft auch aus Asien angeboten. Lagern Unternehmen Aufgaben an externe Dienstleister in Drittstaaten aus, ist zur Erfüllung ihrer Aufgaben häufig auch die Übermittlung von Beschäftigtendaten notwendig. Das Urteil Mit seinem Urteil vom 16.7.2020 (Rechtssache C-311/18, Schrems II) hat der EuGH den Angemessenheitsbeschluss der EU-Kommission zur Datenübermittlung in die USA (EU-US-Privacy-Shield) für ungültig erklärt. Der EuGH hält die Angemessenheit des Datenschutzniveaus nach Art. 45 DSGVO in den USA nicht für gegeben. Es fehle an geeigneten Garantien, durchsetzbaren Rechten und wirksamen Rechtsbehelfen gegen nachrichtendienstliche Aufforderungen zur Herausgabe von personenbezogenen Daten von EU-Bürgern, die in den USA verarbeitet werden bzw. dorthin übermittelt werden. Der im Privacy Shield vorgesehene Ombudsmann biete keinen ausreichenden Schutz gegen die Nachrichtendienste. Der EuGH hatte auch die von der EU-Kommission etablierten EU-Standarddatenschutzklauseln nach Art. 46 Abs. 2 lit. c DSGVO zu bewerten. Zwar sieht er diese als weiterhin zulässige Grundlage für die Datenübermittlung in Drittländer an, allerdings müsse der jeweilige Verantwortliche prüfen, ob mit der Verwendung dieser Klauseln tatsächlich ein gleichwertiges Datenschutzniveau bei dem Empfänger hergestellt werden könne. Sei dies nicht der Fall, müsse er durch zusätzliche Maßnahmen nachbessern. Gelinge dies nicht, sei die Datenübermittlung einzustellen und die Daten seien zurückzuholen.
1